Amazon Web Services ブログ

Okta SSO で Amazon EKS を管理する

 Amazon Elastic Kubernetes Service (Amazon EKS) を使用すれば、Kubernetes を使ってコンテナ化されたアプリケーションを簡単にデプロイ、管理、スケーリングできます。Okta は、開発者がユーザーアカウントとユーザーアカウントデータを作成、編集、安全に保存し、それらを 1 つまたは複数のアプリケーションに接続できるようにする API サービスです。Okta は、スケーラブルで安全な方法で組織の AWS マネジメントコンソールまたは AWS CLI へのアクセスを提供するのに役立ちます。Okta では、Active Directory または LDAP 認証情報を使用して AWS サービスを使用できます。 Okta が提供する ID を使用して Amazon EKS クラスターを認証する方法を示します。Amazon EKS は、IAM を使用して Kubernetes クラスターに認証を提供しますが、認証はネイティブの Kubernetes ロールベースアクセスコントロール (RBAC) に依拠しています。つまり、IAM は有効な IAM エンティティの認証にのみ使用されます。Amazon EKS クラスターの Kubernetes API とやり取りするためのすべての権限は、ネイティブの Kubernetes RBAC システムを通じて管理されます。 EKS […]

Read More

Amazon S3 暗号化を S3 マネージドから AWS KMS に変更する

 Amazon Simple Storage Service (Amazon S3) を使用するお客様は、サーバー側のオブジェクト暗号化 (SSE) に S3 マネージド暗号化キー (SSE-S3) を利用することがよくあります。多くのお客様の場合、SSE-S3 を使用することにより、データを保護するためのセキュリティ要件を満たしています。一方で、一部のお客様の場合、最初は SSE-S3 が要件を満たしていたはずが、時間の経過とともに要件が変更された可能性があります。たとえば、顧客が別の標準セットに対する準拠を必要とする新しいビジネスを拡張している場合があります。別の例として、分析を使用するお客様の多くは、機密データ以外を使用して概念実証を実行することから始めます。分析プラットフォームから価値を引き出すにつれて、さまざまなデータソースからさらに多くのデータを追加し、このデータ集約によって分類が変更されることがよくあります。暗号化キーにアクセスできるユーザーをより詳細に制御できるようにすることで、暗号化キーを処理するための追加制御を実装しなければならない場合があります。また、ログ記録と監査を分離したり、ストレージと暗号化を別々に認証するための PCI-DSS コンプライアンス要件をサポートしたりすることもできます。AWS マネージドキーとカスタマーマネージドキーの違いについては、このブログ記事をご覧ください。 より強力なセキュリティとコンプライアンスの要件を満たすために、一部のお客様は、暗号化モデルを SSE-S3 から SSE-KMS に変更したいと思う場合があります。SSE-KMS は、暗号化に AWS Key Management Service (AWS KMS) を使用します。そうすることで、許容が大きすぎるポリシーからの保護など、いくつかの追加利点を提供できます。たとえば、個々のユーザーやロールではなく、過度に広いデータへのアクセスを許可するバケットポリシーを追加します。KMS キーを使用して暗号化を実装することにより、リソースにアクセスする者は、Amazon S3 ポリシーアクセスと、データを復号化するための KMS キーへのアクセスを必要とします。カスタマーマネージドキーで AWS KMS を使用することを選択したお客様には、追加のコンプライアンス要件をサポートできる次の利点もご利用いただけます。 キーの所有権を維持してアクセスを取り消し、データへのアクセスを不可能にします。 独自のコンプライアンス要件に合わせて、AWS KMS コンソールから監査可能なカスタマーマネージド CMK を作成、ローテーション、無効化することができます。 AWS KMS のセキュリティ管理は、暗号化関連のコンプライアンス要件を満たすのに役立ちます。 この記事では、4 つのことを説明します。 暗号化に KMS キーを使用するよう、バケットにデフォルトの暗号化を設定する方法。 […]

Read More

分散型可用性グループを使用したマルチリージョン SQL Server のデプロイ

 SQL Server のマルチリージョンアーキテクチャは、多くの場合、お客様と連携する際に関心を集めるトピックです。SQL Server のデプロイにマルチリージョンアーキテクチャアプローチを採用する根本的な理由は次のとおりです。 ビジネス継続性と災害復旧 地理的に分散したお客様の事業所とエンドユーザーのためのレイテンシーの改善 この投稿では、2 つ以上の AWS リージョンにまたがる可用性の高い SQL Server のデプロイを効果的に設計するためのアーキテクチャパターンについて説明します。また、マルチリージョンアプローチを使用して読み取りワークロードをスケールアウトし、グローバルに分散したエンドユーザーのためにレイテンシーを改善する方法についても学びます。 アーキテクチャ: 従来的かつ最適 この投稿では、マルチリージョンの Always On 可用性グループの従来のアプローチと、マルチリージョンの分散型可用性グループの最適なアプローチの 2 つのアーキテクチャについて説明します。 マルチリージョンの Always On 可用性グループ 従来のアプローチでは、リージョン間 VPC ピアリング接続を確立し、単一の Windows Server Failover Cluster (WSFC) が 2 つのリージョンにまたがるようにして、これら 2 つのリージョンのノードで Always On 可用性グループのデプロイを構築できます。次の図は、このアーキテクチャを示しています。 このアーキテクチャでは、リージョン A がプライマリレプリカをホストします。同期セカンダリレプリカもリージョン A でホストされています。プライマリレプリカはリージョン A の AZ1 にあり、同期セカンダリレプリカは AZ2 にあります。データ転送はレプリカ間で同期され、フェイルオーバーモードは自動フェイルオーバーです。AZ1 の接続障害またはその他の障害が発生した場合、自動フェイルオーバーが開始され、AZ2 […]

Read More

Amazon Redshift のクォータでスキーマのストレージスペースをモニタリングおよび制御する

 Yelp は、人々を地元の優れたビジネスと結びつけます。Yelp は 2004 年に立ち上げて以来、本拠地を置くサンフランシスコ 1 都市でサービスを提供するに過ぎなかったのが、30 か国以上の主要都市にまたがる多国籍企業へと成長しました。同社のパフォーマンスベースの広告およびトランザクションビジネスモデルにより、2015 年の収益は 5 億ドルを超え、前年比 46% 増加しました。Yelp はモバイル中心の企業へと進化し、検索の 70% 以上、コンテンツの 58% 以上がモバイルデバイスを基にしています。 Yelp は Amazon Redshift を使用して、モバイルアプリの使用状況データと、顧客コホート、オークション、および広告指標に関する広告データを分析しています。Yelp はすぐに新しい Amazon Redshift のスキーマストレージクォータ機能の恩恵を受けました。 「Amazon Redshift は、Yelp がデータベース管理に時間を費やすことなくデータ分析に集中することを可能にするマネージドデータウェアハウスサービスです」と、Yelp の Metrics Platform のリードエンジニアである Steven Moy 氏は言います。Metrics Platform により、Yelp のエンジニアリングチームは長期の永続的なデータストレージと SQL-on-anything クエリ機能を享受できます。「当社のデータウェアハウスユーザーがすばやく繰り返すための重要な戦略は、「tmp」と呼ばれる書き込み可能なスキーマを用意することです。これにより、ユーザーはさまざまなテーブルスキーマのプロトタイプを作成できます。ただし、クエリの実行中に十分な空き容量がないと、データウェアハウスのクエリ操作全体のパフォーマンスが低下するという課題に直面することがあります。新しいスキーマクォータ機能を使用すると、「tmp」スキーマにストレージクォータ上限をプロビジョニングして、ストレージの容量不足を未然に防ぐことができます。Amazon Redshift が提供するすべての自律型の機能を心待ちにしています」。 多くの組織がセルフサービス分析に移行しており、さまざまなペルソナが進化するデータの量、多様性、速度について独自の洞察を得て、加速するビジネスに対応しています。このデータの民主化により、データガバナンスを実施し、コストを管理し、データの誤管理を防ぐ必要が生じます。さまざまなペルソナのストレージクォータを制御することは、データガバナンスとデータストレージ運用にとって大きな課題です。この記事では、異なるペルソナごとに Amazon Redshift ストレージクォータを設定する方法を示します。 前提条件 このチュートリアルを開始する前に、次のものが必要です。 Amazon Redshift クラスター。us-east-1 […]

Read More

Infosys が AWS Fargate を使用して、Wingspan での技術スキル評価を新しい形に

 この投稿は、Infosys のリードアーキテクトである Arpan Patro 氏と、AWS ソリューションアーキテクトの Satheesh Kumar が共同執筆しています。 Infosys は、次世代デジタルサービスおよびコンサルティングのグローバルリーダーです。同社は世界中に広がる 24 万人を超えるスタッフを抱え、ビジネスコンサルティング、情報技術、アウトソーシングサービスを提供しています。 挑戦: Infosys は 46 か国以上にまたがるクライアントに、さまざまなデジタル変革の取り組みを提供しています。クライアントに適切なサービスを提供できるよう、Infosys のスタッフは新しい技術スキルを習得して、技能を向上させることが重要です。技術スキルを習得しようとしている学習者が天才的な才能を発揮し、そうしたスキルを職場で見せたい、実験したい、クラスや動画で知ったことをやってみたいと思うことは多々あります。こう思ったときこそ学習者の熱意が高まるときで、一方で実践のための適切な環境がないためにつまずくときでもあります。 制限、インフラストラクチャへのアクセスの困難さ、ソフトウェアのインストール、バージョンの不一致は、学習者が対処しなければならない現実であり、スキルアップの経験を積もうとしても望む結果をもたらさない可能性があります。 Infosys は、学習者が学びを達成するには応用の効く実践スキルが必要であると考えています。学習者には独自のプレイグラウンドを準備し、そこではフェイルセーフな環境で実験、強化、分解できる必要があります。失敗に時間を掛けないことが、堅牢性を築く最もよい方法です。 同社は、スタッフ全員がいつでもどこでも好きな環境にアクセスできるソリューションを求めていました。この結果、実践的に学習し評価できる環境を、いつでも、どこでも、どのデバイスでも迅速に提供するという目標を立てるのに役立ったのです。Wingspan Assessments は基本的なプログラミングベースの言語だけでなく、コアテクノロジーとツールを具体化するものでした。 Infosys Wingspan は組織が人材の変革を加速し、やり方を変更するのに役立つ多目的な学習ソリューションです。学習を継続するための環境を作成することで、人材が一段階上のステップに進むのを支援します。 https://www.infosys.com/products-and-platforms/wingspan.html   ソリューション: このユースケースは独特で、一筋縄ではいきませんでしたが、AWS Fargate の Amazon Elastic Container Service (ECS) に着目することになりました。これは、ケーラブルでコスト効率の高いマネージドサーバーレスサービスで、コンテナを実行するためのものです。AWS Fargate を選択した理由は次のとおりです。 AWS Fargate はコンテナを実行するサーバーレスコンピューティングエンジンです。これのおかげで、インフラストラクチャ管理の差別化につながらない手間のかかる作業から、より多くの機能を備えた評価プラットフォームの構築に焦点を移すことができました。 AWS Fargate は「awsvpc」ネットワーキングモードをサポートしています。このモードでは、各タスクが独自の IP アドレスを取得し、タスクレベルでセキュリティグループを関連付ける機能を備えた、きめ細かなセキュリティ制御を実行できます。 コンテナをアドホックな方法で実行するこのワークロードの性質を考えると、AWS Fargate は、このソリューションを大規模に実行するためのコスト効率の高いオプションであることがわかったのです。AWS Fargate […]

Read More

マネージドへの移行: Amazon Elasticsearch Service の事例

 AWS に合流する前は、Elasticsearch でモバイル広告ソリューションを構築する開発チームを率いていました。Elasticsearch は、ログ分析、リアルタイムアプリケーションモニタリング、クリックストリーム分析、および勿論、検索用によく使用されるオープンソースの検索および分析エンジンです。私が担当したプラットフォームは、会社のビジネスを推進するためには不可欠でした。 私が抱えるチームは、AWS で Elasticsearch のセルフマネージド実装を実行しました。当時は、マネージド Elasticsearch オファリングは利用できませんでした。3 つのリージョンに Elasticsearch クラスターをデプロイするために、スクリプトとツールを構築する必要がありました。これには、次のタスク (およびその他) が含まれます。 クラスターが通信できるように、ネットワーク、ルーティング、ファイアウォールのルールを構成。 Elasticsearch 管理 API を不正アクセスから保護。 データノード間でリクエストを分散するためのロードバランサーの作成。 問題が発生した場合にインスタンスを置き換える自動スケーリンググループの作成。 設定の自動化。 セキュリティ上の問題に対するアップグレードの管理。 その体験を一言で言えば、「苦痛」にあたるでしょう。 独自の Elasticsearch クラスターを大規模にデプロイして管理するには、適切な実行を行うために多くの時間と知識が必要です。おそらく最も重要なことは、エンジニアが最善を尽くすこと、つまり顧客向けソリューションの革新と生産から離れたということです。 Amazon Elasticsearch Service (Amazon ES) は、AWS に入社してからほぼ 2 年後の 2015 年 10 月 1 日に開始されました。およそ 5 年後、Amazon ES は検索関連のニーズを実現する魅力的な機能セットを提供することにおいて、これまでで最高の位置を占めています。Amazon ES を使用すれば、AWS クラウドで Elasticsearch クラスターを安全かつ費用対効果の高い方法で簡単にデプロイ、運用、スケーリングできるフルマネージドサービスを利用できます。Amazon ES は […]

Read More

Amazon Managed Blockchain でイベントベースのアプリケーションをビルドする

 Amazon Managed Blockchain 上にビルドされたアプリケーションで、信頼できる環境で複数の当事者が相互にトランザクションを実行できるようになりました。これは、各当事者がブロックチェーンにコミットする前にトランザクションを承認できるようになったためです。ブロックチェーンイベントによってアプリケーションはアクティビティへの応答が可能になります。また、ブロックの新規作成などのブロックチェーンネットワークのアップデート、さらにはネットワークにデプロイされたスマート契約書のアップデートの応答もできるようになります。 ブロックチェーンイベントは非常に有用で、さまざまなアクティビティを可能にします。例としては、Amazon Simple Notification Service (Amazon SNS) によるビジネスイベント発生時のユーザー通知、Amazon QuickSight や Amazon Redshift などのビジネスインテリジェンスおよびビジネス分析エンジンへのデータのストリーミングが挙げられます。Amazon DynamoDB や Amazon Aurora などの専用データベースにストリーミングしたり、イベントトリガー型アプリケーションには AWS Lambda を使用したりもできます。 Hyperledger Fabric ブロックチェーンネットワークでは、ブロックチェーンネットワークアクティビティをモニタリングするための 3 種類のイベントタイプがあります。 ブロックイベント – 新規ブロックが台帳に追加されたときに発生します。ブロックイベントには、ブロックが持つトランザクション情報が含まれます。 トランザクションイベント – トランザクションが台帳にコミットされたときに発生します。 チェーンコードイベント – チェーンコードとは、ブロックチェーンネットワークで実行されるアプリケーションコードのことです。これにより、台帳とのインタラクションが可能になります。チェーンコード内でイベントを定義できるうえに、イベントのトリガーとなる条件を定義できます。イベントは、必要な条件を備えたブロックが台帳にコミットされるとトリガーされます。 本記事では、透明性の高い NGO の寄付アプリケーションのユースケースを説明します。寄付金を NGO がどう活用しているかが寄贈者にわかるようなアプリケーションの作成と構成の詳細は、Github リポジトリをご覧ください。本記事では、新規寄付が SMS でユーザーに通知されるように、アプリケーションをビルドしていきます。Amazon Managed Blockchain でチェーンコードイベントを使ったワークフローのビルド方法や、Amazon SNS を使った SMS メッセージの送信方法を説明します。 ソリューションの概要 […]

Read More

低コストの Windows ファイルシステムで高スループットを実現

 Windows ファイルストレージのワークロードをテストまたは Amazon FSx for Windows ファイルサーバー (Amazon FSx) に移行した後に、お客様からは「素晴らしい!」との声をよくいただきます。この言葉は、低コストのハードディスクドライブ (HDD) ファイルシステムに向けられたものです。今年の初めに、当社は、低コストのストレージオプションが利用可能になることを「新規 – Amazon FSx for Windows ファイルサーバーの低コスト HDD ストレージオプション」で発表しました。これにより、お客様は、Amazon FSxでファイルシステムを作成する際に、HDD またはソリッドステートドライブ (SSD) ストレージのいずれかを選択することができます。HDD ストレージオプションは、ホームディレクトリ、部門の共有、コンテンツ管理システムなど、幅広いワークロード向けに設計されています。この投稿では、HDD ファイルシステムがファイルベースのアプリケーションに高いパフォーマンスを提供する方法を紹介します。合成 (シミュレートされたアクティビティ) ストレージテストに一般的に使用される Microsoft ストレージパフォーマンスツールである DiskSpd を使用して、さまざまな読み取りおよび書き込み操作で Amazon FSx for Windows ファイルサーバーのコンポーネントをテストします。低コストの Amazon FSx for Windows ファイルサーバーから高いスループットを実現できることを示すことができ、「素晴らしい!」の声を聞くことができれば幸いです。 Amazon FSx は、業界標準のサーバーメッセージブロック (SMB) プロトコル経由でアクセスできる、信頼性の高いスケーラブルなフルマネージドファイルストレージを提供しています。Microsoft Windows Server 上に構築され、データの重複排除、エンドユーザーファイルの復元、Microsoft Active Directory (AD) 統合などの幅広い管理機能を提供します。シングル […]

Read More

Kubeflow Pipelines 用 Amazon SageMaker コンポーネントの紹介

本日、Kubeflow Pipelines 用の Amazon SageMaker コンポーネントを発表しました。今回の記事では、Kubeflow Pipelines SDK を使用しながら、Amazon SageMaker コンポーネントにより最初の Kubeflow パイプラインを構築する方法をご説明します。 Kubeflow は、カスタム ML パイプラインを構築しようとする Kubernetes ユーザーに良く使用されている、オープンソースの機械学習 (ML) ツールキットです。  Kubeflow Pipelines は Kubeflow のアドオン機能であり、ポータブルかつスケーラブルなエンドツーエンドの ML ワークフローのために、構築およびデプロイの手段をユーザーに提供します。しかしながら、この Kubeflow Pipelines をデータサイエンティストが使用する際には、データラベリングのワークフローやモデルチューニングなど、生産性向上のためのツールを、ご自身で追加で実装する必要があります。 さらに、Kubeflow Pipelines を使用する ML Ops チームには、CPU や GPU インスタンスを含む Kubernetes クラスターの管理が必要であり、投資から得る収益を最大化するために、それらの利用率を常に高く維持することも求められます。データサイエンスチーム全体でクラスターの利用率を最大化することは簡単ではなく、ML Ops チームに余計な運用経費を負担させることになります。たとえば、GPU インスタンスの利用は深層学習トレーニングや推論といったような要求の厳しいタスクに制限し、CPU インスタンスには、データの前処理や Kubeflow Pipelines のコントロールプレーンなど要求レベルの低いタスクを受け持たせる、といったことが必要です。 その代替手段である Kubeflow Pipelines 向けの Amazon SageMaker コンポーネントにより、ユーザーはパワフルな […]

Read More

高パフォーマンスな SAS Grid Manager クラスターの Amazon FSx for Lustre による AWS 上での実行

 SAS® は、エンタープライズや政府系の組織に利用されている、データサイエンスと分析用ソフトウェアのプロバイダーです。SAS Grid は、高い可用性と処理速度を提供する分析プラットフォームであり、集中的な管理機能により、異なるコンピューティングノード間でワークロードをバランスさせます。このアプリケーションスイートには、データ管理、画像分析、ガバナンスとセキュリティ、予測とテキストマイニング、統計的な分析、および環境管理などの機能が備わっています。最近、SAS と AWS では、Amazon FSx for Lustre の共有ファイルシステムにより SAS Grid Manager を AWS 上で使用した場合に、標準的なワークロードがどの程度良好に機能するか確認するためのテストを実施しました。テスト結果の詳細については、ホワイトペーパーの「Accelerating SAS Using High-Performing File Systems on Amazon Web Services (アマゾン ウェブ サービスの高性能ファイルシステムによる SAS の高速化)」をご参照ください。 この記事では、SAS Grid と FSx for Lustre を併用するために AWS の基盤となるインフラストラクチャをデプロイする際のアプローチ手法をご紹介していきます。これは、I/O に対する要求が厳しい他の同様なアプリケーションにも適用が可能です。 システムデザインの概要 高いパフォーマンスのためにスループットへの要求が厳しく、ネットワークのレイテンシーにも敏感なワークロードを実行することは、一般的なアプリケーションでは行わないアプローチを必要とします。通常 AWS では、このようなアプリケーションは複数のアベイラビリティ―ゾーンに展開し、高可用性を達成するように推奨しています。レイテンシーに対する感度を考えたとき、パフォーマンスを最適化するためには、高スループットのアプリケーションのトラフィックはローカルに置く必要があります。スループットの最大化には、次のような手段があります。 Virtual Private Cloud (VPC) 内で実行し、強化されたネットワーキングが利用可能なインスタンスタイプを使用する 各インスタンスは同じアベイラビリティゾーン内で実行する プレースメントグループ内でインスタンスを実行する AWS で […]

Read More